la période qui suit une violation de données n’est pas facile pour les entreprises. Beaucoup de temps et d’argent pour gérer efficacement une crise, même avec plus de temps et d’argent dépensé sur les séquelles. Ces dépenses comprennent les membres des équipes informatiques et de sécurité qui mettent à niveau leurs solutions de sécurité; la direction et les ressources humaines qui organisent des formations en sécurité pour les employés; et l’équipe de communication de crise qui parle aux clients, aux parties prenantes et au grand public pour regagner la confiance., La façon dont une entreprise gère une violation de données a un impact direct sur sa réputation une fois la poussière retombée.
pour voir à quel point cela a un impact, nous avons examiné différentes données quantitatives et qualitatives pour comprendre ce qui arrive réellement à la réputation d’une entreprise après une violation de données.
obtenez le stylo gratuit testant les environnements Active Directory EBook
table des matières
- avec qui les Américains achètent-ils encore après une violation?,
- Les Américains font le plus confiance aux détaillants
- Les Américains font le moins confiance aux services de covoiturage
- Influence de L’âge et du Sexe dans la réputation de l’entreprise
- Importance de la réputation dans les affaires
- conseils pour se remettre d’une violation de données
- Actions à pensez aux entreprises après une violation?
Nous avons interrogé 1 000 Américains pour voir avec quel type d’entreprise ils sont les plus susceptibles de magasiner après qu’une entreprise ait subi une violation., Nous avons constaté que les gens sont les plus susceptibles de magasiner avec un magasin de détail et les moins susceptibles de magasiner avec un service de covoiturage Après une violation.
Une chose à noter est que nous avons inclus les noms des entreprises qui ont connu des éminents infractions pour chaque question. Nous avons ajouté Target à L’option détaillants (le choix gagnant dans le sondage) et Uber à L’option Service de covoiturage (l’option la moins favorable dans le sondage).
les Américains font le plus confiance aux détaillants
la violation de Target a duré du 27 novembre au 15 décembre 2013., Ils ont détecté leur violation en 16 jours et l’ont divulguée au public 20 jours après la découverte.
beaucoup ont critiqué Target pour le temps qu’il a fallu pour informer le public de la violation. Il s’agissait de l’une des plus grandes violations de données à l’époque et cela a suscité de nombreuses discussions sur la sécurité des points de vente, la sécurité des données des consommateurs et de nombreuses autres préoccupations qui n’ont pas été fortement discutées avant la violation. Grâce à leurs nombreux efforts pour améliorer leur sécurité et reconquérir des clients, Target a semblé renverser sa réputation défavorable dans les années qui ont suivi leur violation.,
des mois après la violation, Target a publié une liste de ses améliorations en matière de sécurité et de technologie sur son site d’entreprise. Les améliorations comprenaient une surveillance et une journalisation améliorées, une révision et une limitation de l’accès des fournisseurs, ainsi qu’une sécurité accrue des comptes. Leur mise en œuvre robuste et rapide d’améliorations, en particulier à une époque où ces violations n’étaient pas aussi répandues, peut avoir influencé positivement l’opinion publique.
Target est également connu pour avoir une clientèle fidèle, ce qui peut être utile pour leur fort rebond., Le Huffington Post attribue cette fidélité à des choses comme la commodité, l’attrait visuel, et le fort sens de la cible de la Communauté fournit pour différents clients. Forbes cite également leur investissement dans les employés axés sur le service à la clientèle comme un facteur contribuant à leur solide réputation globale.
Nous pouvons voir que la perception des consommateurs de Target a chuté de 54,6% l’année suivant la violation de données. Au cours des années suivantes, il y a eu une hausse généralement constante avec une augmentation de 84% de 2014 à 2018., Une petite baisse dans 2016 est probablement attribuée à la controverse concernant la position de Target sur l’autorisation aux clients transgenres d’utiliser les vestiaires et les toilettes pour le sexe qu’ils identifient.
Comme nous l’avons mentionné, la forte fidélité à la marque de Target et ses efforts pour améliorer son système de sécurité sont deux facteurs qui ont probablement contribué à cette hausse. Nous avons mené cette enquête six ans après la violation de données de Target, faisant de Target l’entreprise avec la violation la plus ancienne représentée dans l’enquête., Cela a peut-être pris en compte leur grande favorabilité dans cette étude puisque leur violation était moins récente et qu’ils avaient plus de temps pour se rétablir.
les Américains font le moins confiance aux services de covoiturage
la violation D’Uber s’est produite en octobre 2016 et la société l’a découverte un mois plus tard. Au lieu de divulguer la violation, Uber a payé aux pirates 100 000 hackers pour supprimer les données et rester silencieux sur l’incident. Uber a finalement révélé la violation en novembre 2017 et a rencontré de nombreuses répercussions, notamment des amendes, des protocoles de sécurité sanctionnés et une diminution de la confiance des clients.,
contrairement à Target, les critiques D’Uber ont été beaucoup plus sévères à leur égard car ils ont enfreint les lois concernant la notification des violations. De nombreux procureurs généraux ont été des critiques virulentes et ont trouvé à redire au choix D’Uber de cacher la violation et à leur mépris général pour la sécurité.
dans notre enquête, plus de gens ont fait confiance aux industries plus anciennes comme les magasins de détail et les hôtels qu’aux industries plus récentes comme les réseaux sociaux et le covoiturage. Les consommateurs semblent moins tolérer les violations de données pour les entreprises des nouveaux secteurs., Cela signifie que ces entreprises doivent faire très attention à la façon dont elles gèrent les données des clients.
Une grande différence à noter dans ce cas est que Target remonte à 1902 alors Qu’Uber n’a commencé qu’en 2009 (sous un nom différent). L’industrie du covoiturage n’a commencé qu’en 2007 avec Zimride. Par conséquent, Uber avait moins de temps que la cible pour construire leur réputation de marque, moins de temps pour se remettre de la violation au moment de l’enquête, et est dans une industrie relativement nouvelle.,
cependant, Uber a également eu plusieurs autres controverses dans leur courte histoire, y compris leur logiciel « God’S View” qui aurait été utilisé pour suivre les emplacements en temps réel des passagers (y compris les politiciens et les ex-petites amies); problèmes autour des conducteurs sous-payés; et un règlement de harcèlement sexuel entre autres accusations de sexisme au sein de Ces problèmes ont probablement ajouté à la baisse rapide de la perception des consommateurs.
Nous pouvons voir ici que la perception des consommateurs D’Uber a plongé de 141,3% l’année où ils ont révélé la violation., Même avec un mois dans l’année (depuis qu’ils ont révélé leur violation en novembre), la négativité entourant Uber en tant qu’entreprise et leurs actions spécifiquement liées à la violation étaient assez susceptibles de faire chuter leur note.
Influence de L’âge et du Sexe dans la réputation de l’entreprise après une violation
Nous avons remarqué quelques tendances dans l’âge et le sexe par rapport à l’endroit où une personne achèterait encore après une violation de données. Jetez un oeil à nos résultats ci-dessous.,
Dans notre enquête, nous avons constaté que les apprenants ont moins de confiance globale des différentes institutions après une violation de données. Vous pouvez voir ci-dessus que même pour les magasins de détail, la réponse gagnante de notre enquête, les millennials faisaient toujours le moins confiance à cette institution par rapport à d’autres
Plusieurs études et rapports ont révélé que les millennials sont compliqués en matière de confiance., CIO a rapporté que les millennials se méfient généralement des entreprises, tandis que Forbes a rapporté que les millennials faisaient autrefois confiance, mais ont une érosion générale de la confiance grâce à la montée des violations de données à grande échelle.
en plongeant dans le genre, nous avons constaté que le noyau démographique d’une entreprise peut influencer la rapidité avec laquelle les clients continueront à y faire leurs achats.
par exemple, nous avons constaté dans notre enquête que les femmes étaient plus susceptibles de magasiner chez des détaillants comme Target après avoir subi une violation de données., Le noyau démographique de Target est féminin et les femmes sont en fait plus susceptibles de magasiner chez des détaillants similaires que les hommes. Cela signifie qu’il peut y avoir une relation entre les deux. Nous avons également constaté que les services de covoiturage étaient plus fiables par les hommes dans notre enquête et que les hommes utilisent Uber un peu plus que les femmes.
la relation entre les violations de données et la réputation
Nous voyons maintenant que les consommateurs se soucient beaucoup des violations de données et de la façon dont les entreprises les gèrent., En fait, si une violation est mal gérée, les consommateurs risquent de perdre confiance, de se dissocier de l’entreprise, d’informer leur réseau de la violation et de magasiner avec un concurrent plus sûr.
Une étude de Centrify a révélé que 65% des victimes de violation de données ont perdu confiance dans une organisation à la suite de la violation. IDC a constaté que 80 pour cent des consommateurs dans les pays développés feront défaut d’une entreprise si leurs informations sont compromises dans une faille de sécurité.
en plus de la perte de confiance, les entreprises doivent également s’inquiéter des réseaux des clients directement touchés., Une enquête marketing sur les Interactions a révélé que:
- 85% racontent aux autres leur expérience
- 33,5% utilisent les médias sociaux pour se plaindre de leur expérience
- 20% commentent directement sur le site Web du détaillant
l’ampleur de toute violation de données est considérable grâce à internet. La réputation négative généralisée d’une entreprise, en particulier à cause d’une violation, peut nuire à sa réputation globale plus qu’elle ne le pense. Cela peut finalement avoir un impact sur leurs résultats., Security Magazine a rapporté une étude qui a révélé:
- 52% des consommateurs envisageraient de payer pour les mêmes produits ou services auprès d’un fournisseur offrant une meilleure sécurité
- 52% des consommateurs ont déclaré que la sécurité était une considération importante ou principale lors de l’achat de produits ou de services.
des Conseils pour Récupérer à partir d’une Violation de Données
Maintenant que nous connaissons les faits, que pouvons-nous faire ensuite? Les violations médiatisées passées nous donnent des exemples de ce qu’il faut faire et de ce qu’il ne faut pas faire après une violation., Jetez un coup d’œil ci-dessous pour voir ce que vous pouvez faire pour gagner la confiance des clients et renforcer votre réputation sur le plan éthique à la suite d’une violation de données.
Mesures à prendre après une violation de données
soyez la première source à annoncer la nouvelle. Cela prouve la transparence entre vous et le public, en plus de vous permettre de contrôler le récit entourant la violation. Laisser une autre source casser les nouvelles vous met automatiquement sur la défense et dans un désavantage selon la crise mondiale, risque, et stratège de réputation Davia Temin dans un article de Forbes analysant la violation cible., Temin conseille également de faire connaître les mauvaises nouvelles en une seule fois lorsque cela est possible et de répondre de manière réfléchie et approfondie à toute correspondance.
S’engager dans le partage des menaces. Il existe une poignée d’organisations et d’initiatives que votre entreprise peut rejoindre à la suite d’une violation. Ces groupes partagent des informations sur leurs violations afin de sensibiliser le secteur de la sécurité à l’évolution des menaces. Cela aide finalement tout le monde à apprendre à mieux se défendre contre les cybermenaces en constante évolution. Target est l’une des principales entreprises qui ont rejoint deux initiatives de partage des menaces à la suite de la violation.,
mettre en œuvre un plan de notification robuste. Informer vos clients, vos employés et les autres parties prenantes concernées est tout aussi important que de gérer la violation elle-même., Il y a beaucoup de personnes impliquées dans le processus de notification, y compris:
- Les professionnels de L’informatique et de la cybersécurité pour transmettre ce qui s’est passé
- Les professionnels du droit pour vérifier les communications et tenir l’entreprise informée de toute réglementation connexe qu’ils doivent suivre
- Les relations publiques et les cadres dirigeants pour relayer cette information au public
avoir au moins une partie de ces informations planifiées avant une violation garantit qu’un processus solide est en place pour diffuser l’information aussi rapidement et avec précision que possible.
embaucher un RSSI et d’autres professionnels de la sécurité., Les dirigeants et les professionnels directement axés sur la cybersécurité peuvent améliorer vos efforts de rétablissement. Il fait également une déclaration au public que vous êtes sérieux au sujet de corriger vos erreurs et de faire une forte poussée pour renforcer vos efforts de cybersécurité. Target et Sony ont embauché leurs premiers CISO après leurs violations respectives. Equifax a embauché le RSSI de Home Depot pour diriger leurs efforts de récupération depuis qu’il a aidé à la récupération du magasin de rénovation domiciliaire.
soyez suffisamment transparent avec toutes les parties impliquées. Toute personne liée à la violation doit connaître les informations nécessaires., Les consommateurs doivent savoir que leurs informations ont été compromises et ce que vous faites pour corriger la situation. Les autorités devraient savoir exactement quand et comment la violation s’est produite. Cependant, il y a une ligne fine pour marcher ici. Divulguer trop d’informations au mauvais moment peut donner à d’autres pirates juste assez de connaissances pour lancer une autre attaque pendant que vous essayez de récupérer de la violation précédente.
mesurez et rapportez régulièrement vos améliorations en matière de cybersécurité. Les conséquences d’une violation de données ne s’arrêtent pas après que les nouvelles semblent reculer et que les eaux commencent à se calmer., Établir une confiance à long terme avec le public comprend une surveillance active et un travail pour prévenir une attaque future.
La série de violations de Yahoo année après année est un excellent exemple des raisons pour lesquelles les entreprises devraient donner la priorité aux efforts de cybersécurité. Assurez-vous de disposer d’une solution de cybersécurité puissante et complète pour faciliter vos rapports et obtenir un aperçu général de votre paysage de cybersécurité. Une étude Statista a également révélé que 73% des personnes trouvent extrêmement important de résoudre le problème et d’arrêter la violation après que les données des clients ont été compromises.,
les Erreurs à Éviter, Après une Violation de Données
Ne pas payer les pirates. Cela attaque non seulement directement les consommateurs et la confiance du public, mais alimente également le « marché” du piratage, validant davantage le piratage en tant que moyen de revenu. Comme nous l’avons mentionné précédemment, Uber a payé les pirates pour supprimer des informations et rester silencieux sur le piratage, et de nombreuses personnes ont condamné la société de covoiturage pour ce choix.
N’attendez pas pour informer le public., Plus vous attendez pour informer les personnes appropriées de la violation, plus les conséquences de la part des consommateurs et des autorités peuvent être graves. Uber, Equifax, et d’autres violations de données de haut niveau ont subi des critiques majeures pour le temps qu’ils ont pris pour informer le public. Outre les conséquences sur la réputation, il convient également de prendre en compte les répercussions juridiques des notifications retardées. Le RGPD ne vous accorde que 72 heures pour divulguer la violation. Le non-respect de cette règle ou de l’un des règlements du RGPD peut entraîner des amendes pouvant atteindre 22$.,6 millions ou 4 pour cent du chiffre d’affaires annuel mondial de la société de l’année précédente.
Ne faites Aucune déclaration définitive tant que vous n’avez pas confirmé les faits. Revenir en arrière et corriger une déclaration ne fait qu’aggraver une mauvaise situation. Les entreprises qui font cela peuvent apparaître comme non préparées et non professionnelles — deux choses que vous ne voulez pas que vos clients vous perçoivent comme après avoir compromis leurs informations. Au lieu d’essayer d’obtenir des informations à la hâte, donnez des mises à jour sur le moment où vous pouvez fournir une confirmation et soyez transparent sur les raisons pour lesquelles vous ne pouvez pas divulguer des informations spécifiques à un moment donné.,
consulter les différents services (relations publiques, Juridique, informatique) pour s’assurer que les messages et les informations sont corrects. Equifax a rétracté ses déclarations à plusieurs reprises et a eu plusieurs autres hoquets à la suite de leur violation (y compris diriger accidentellement leurs utilisateurs vers un site de phishing) qui a laissé une impression défavorable aux consommateurs. Yahoo a également révisé ses déclarations sur le nombre de comptes piratés lors de leur violation. Ils ont initialement signalé qu’un milliard de comptes avaient été compromis et ont ensuite rétracté cette déclaration pour dire que chaque compte (3 milliards) était impliqué., Cette erreur couplée à leur chaîne de hacks n’a pas bien réussi avec le public.
la façon dont une entreprise gère une violation de données affecte sa réputation et la perception des consommateurs. Les entreprises doivent consacrer le temps et les ressources nécessaires pour préparer, gérer et gérer les conséquences d’une violation. Cela les aidera à reconstruire et à renforcer leur réputation et leurs relations avec les clients, les employés, les parties prenantes et le public. Le temps qu’il faut pour réagir et contenir une violation est un facteur majeur dans la perception que le public a d’une entreprise.,
avoir un plan de réponse aux incidents et s’engager dans une modélisation efficace des menaces sont des moyens éprouvés de réduire l’impact global d’une violation et de mettre en place des méthodes pour renforcer la confiance des consommateurs. Ne mettez pas votre entreprise en danger et laissez votre réputation au hasard. Faites une évaluation des risques pour voir à quel point votre entreprise est préparée à une violation et ce que vous pouvez faire pour prendre les bonnes mesures pour minimiser les menaces potentielles.
Sources:
- Actions à pensez aux entreprises après une violation?